1、网宿安全2023版零信任安全白皮书零信任安全白皮书 01目录 CONTENTS第一章 严峻的网络威胁态势小结261.1.传统边界模型面对挑战1.2.数据安全与隐私合规1.3.网络攻击愈演愈烈020305第二章 零信任安全框架和标准2.1.零信任安全理念框架2.2.零信任安全核心价值0709第三章 零信任典型应用场景3.1.安全办公业务访问3.2.三方人员安全接入3.3.数据防泄露保护3.4.物联网安全连接3.5.一机两用安全办公1011111213第四章 网宿零信任安全实践4.1.网宿零信任平台能力4.2.零信任安全建设框架 4.2.1.远程办公访问 4.2.2.网络攻击防护 4.2.3.数据

2、防泄露4.3.零信任典型客户案例 4.3.1.案例一：某股份银行零信任安全办公项目 4.3.2.案例二：某市政务外网零信任接入项目 4.3.3.案例三：某机械制造集团零信任远程访问项目141717182122222325零信任安全白皮书 02随着云、大数据、移动互联网、5G、IoT等技术的快速发展，日趋开放和复杂的网络边界已经成为互联网安全的重要挑战。传统的网络边界注重建设多重防护设施，难以应对有组织的、武器化的、以数据及业务为攻击目标的高级持续攻击，仅仅依靠传统边界防护难以应对从身份、权限、系统漏洞等多维度的攻击向量，现有的传统基于内网边界防御的框架已无法因应当下全方位网络异构多样化的挑战。

3、整个新冠疫情时期宣告着远程办公时代的全面到来，无论大型还是小型企业，迅速因应变革工作环境，整个世界都转向线上活动，大量员工远程办公、外包协作、三方合作伙伴、供应链协同，这一切导致线上的网络和业务、数据交互快速增长，其迁移速度和规模十分惊人，多样化的人员、设备、分支、地域间的互联与业务数据访问带来更多的网络边界敞口和安全控制风险。工业OT领域的风险也不可忽视，工业控制系统由于设计之初没有考虑到海量异构设备以及外部网络的接入，随着物联网开放性日益增加、远程监控和远程操作加快普及，网络攻击者更容易利用系统性漏洞和运营薄弱环节发动入侵攻击，一旦成功即可造成多达数十亿台设备的集体沦陷，导致生产业务中断、

4、数据被加密和窃取。从云化到Shadow IT(影子IT设施)到ICS（工业控制系统），均在工业4.0时代快速就位并准备好迅速扩张，这种转变背后潜在着巨大的网络风险，因为随之而来的就是网络暴露面大大增加。概括而言，传统网络安全类似物理安全的做法，通过堆叠安全设备构筑组织内网边界，数据和业务均放置在企业内部IDC，假设坏人在外部、内部只有好人，护城河式防御针对的是入向威胁。随着移动业务快速扩展，物联网、车联网、智慧城市的持续发展，资产防护的安全边界越来越不清晰，传统的边界防护架构越来越显得力不从心，传统的边界安全主要存在的问题如下：1、旧有VPN访问模式，不可避免漏洞频发，由于其服务暴露在互联网，

5、采取偏静态化的控制机制，黑客易于渗透，通过劫持边界内的设备并横向移动攻击企业应用、关键基础设施和敏感数据；2、随着使用自带设备（BYOD）越来越普遍，设备不受企业管控，成为企业安全建设中效率成本与强安全管控的矛盾点，不安全的设备在内网接入和接入内部敏感业务系统，引入不可控风险；3、远程办公兴起和普及，2020年开始的疫情大大推动了这一进程，用户接入位置不限于企业内网，企业迫切需要随时随地快捷流畅、安全可靠的远程访问模式；4、随着数字化转型发展，外包人员、合作伙伴、供应链上下游均需要接入不同类型的业务应用，连接人员身份、设备多样化，而配套的安全控制机制十分薄弱；5、企业的业务资源除了部署在传统数

6、据中心，也在不断向外部云资源扩展，包括PaaS、IaaS和SaaS的广泛应用。传统边界安全网络设备无法很好地保护企业的云上应用资源，对于云迁移的企业，需要统一保护处于企业内部、公有云上的私有应用和SaaS应用。传统上，大多数网络和安全架构都是由企业主导设计的，数据中心作为访问需求的目标焦点，支持相对静态的用户。但数字化转型推动了对新数字功能场景的多样化需求，现在有更多的用户、设备、应用、服务需要连接交互，并且数据同时分布在企业内部外部。原来的基于一系列企业IDC边界外围安全设备的网络安全设计，已经不再满足现代数字业务的动态、泛化地域和其混合办公、协作模式的诉求。旧边界必须转变为一组以用户第一章